Kaspersky prevê mudanças na ameaça a sistemas de controlo industrial em 2023
Os investigadores do ICS CERT da Kaspersky partilharam as suas previsões para os próximos anos - os desenvolvimentos centrados no sistema de controlo industrial e os riscos para os quais as organizações se devem preparar em 2023. Estas previsões incluem o aumento da superfície de ataque devido à digitalização, actividades de infiltrados voluntários e cibercriminosos, ataques de ransomware a infra-estruturas críticas, bem como os efeitos técnicos, económicos e geopolíticos sobre a qualidade da detecção de ameaças e o aumento de potenciais vulnerabilidades a serem exploradas pelos atacantes.
Estas previsões são a combinação das opiniões da equipa ICS CERT da Kaspersky com base na sua experiência conjunta na detecção de vulnerabilidades, ataques e resposta a incidentes, bem como na visão pessoal dos peritos sobre os principais vectores que conduzem a mudanças no panorama da ameaça.
Novos riscos e alterações no panorama de ameaças
Os peritos da Kaspersky prevêem uma mudança na actividade de ameaça persistente avançada (APT) contra organizações industriais e sistemas OT em novas indústrias e locais. Os sectores da economia real como a agricultura, logística e transportes, o sector das energias alternativas e o sector energético como um todo, os produtores de alta tecnologia, de produtos farmacêuticos e de equipamento médico são susceptíveis de sofrer mais ataques no próximo ano. Além disso, os alvos tradicionais, tais os complexos industriais militares, e o sector governamental também se manterão.
A superfície de ataque também irá aumentar devido à digitalização numa corrida para maior eficiência em IIoT e SmartXXX, incluindo sistemas de manutenção preditiva e tecnologia de twin digital. Esta tendência é apoiada pelas estatísticas de ataques aos Sistemas Informatizados de Gestão da Manutenção (CMMS) na primeira metade de 2022. Os dez principais países que tiveram estes sistemas atacados são vistos como países com níveis de segurança mais elevados.
Top 10 países classificados pela percentagem de CMMS atacados no 1S de 2022
Os riscos de expansão da superfície de ataque estão também ligados ao aumento dos preços dos fornecedores de energia e ao consequente aumento dos preços do hardware, obrigariam muitas empresas a abandonar os planos de implantação de infra-estruturas no local, em favor de serviços na cloud de fornecedores terceiros, podendo também afectar alguns orçamentos da SI.
As ameaças podem também provir de meios de transporte não tripulados e agregados que podem ser alvos ou ferramentas para ataques. Outros riscos a ter em conta são o aumento da actividade criminosa com o objectivo de recolher credenciais de utilizadores, bem como o aumento do número de infiltrados ideológicos e politicamente motivados, e infiltrados que trabalham com grupos criminosos, geralmente extorsionistas e APTs. Estes infiltrados podem ser activos em instalações de produção, bem como desenvolvedores de tecnologia, vendedores de produtos e prestadores de serviços.
O refluxo e fluxo geopolítico de parcerias de confiança, que têm um efeito global sobre o estado de cibersegurança também na ICS, será mais evidente em 2023. Para além do crescimento da actividade hacktivista "a funcionar" para agendas políticas internas e externas, que se podem tornar mais eficazes, poderemos também assistir a mais ataques de ransomware de infra-estruturas críticas devido ao facto de se tornar mais difícil processar tais ataques.
A deterioração da cooperação internacional na aplicação da lei levará a um influxo de ataques cibernéticos nos países considerados como adversários. Ao mesmo tempo, novas soluções alternativas desenvolvidas internamente podem também conduzir a novos riscos, tais como o software que contém erros de configuração de segurança e vulnerabilidades simples de zero-day, tornando-os acessíveis tanto a cibercriminosos como a hacktivistas.
As organizações podem enfrentar novos riscos, tais como uma diminuição na qualidade da detecção de ameaças devido a falhas de comunicação entre os responsáveis pelo desenvolvimento da segurança da informação e os investigadores localizados em países actualmente em conflito. Podemos também enfrentar uma diminuição da qualidade da inteligência de ameaças, levando a atribuições não apoiadas e a tentativas do governo de controlar informações sobre incidentes, ameaças e vulnerabilidades. O papel crescente dos governos nos processos operacionais das empresas industriais, incluindo ligações na clouds e serviços governamentais, que por vezes estariam menos protegidos do que os privados líderes de mercado, também conduz a riscos adicionais de SI. Assim, existe um risco acrescido de fugas de dados confidenciais devido ao número notável de funcionários subqualificados nas instituições governamentais, bem como uma cultura e práticas internas ainda em desenvolvimento para uma divulgação responsável.
Novas técnicas e tácticas a ter em conta em futuros ataques
Os investigadores do Kaspersky ICS CERT também listaram técnicas e tácticas de excelência que se espera venham a florescer em 2023:
- Páginas de phishing e scripts incorporados em sites legítimos
- O uso de distribuidores repartidos com Trojans embalados no interior, patches e geradores de chaves para software comumente utilizado e especializado
- E-mails de phishing sobre eventos actuais com temas especialmente dramáticos, incluindo eventos políticos
- Documentos roubados em ataques anteriores a organizações relacionadas ou parceiras sendo usados como isco em e-mails de phishing
- A propagação de e-mails de phishing a partir de caixas de e-mail de empregados e parceiros comprometidos disfarçados de correspondência de trabalho legítima
- Vulnerabilidades de N dias - estas serão fechadas ainda mais lentamente à medida que as actualizações de segurança de algumas soluções se tornam menos acessíveis em alguns mercados
- Abuso de erros básicos de configuração por defeito (tais como a utilização de palavras-passe por defeito) e vulnerabilidades fáceis de zero-day em produtos de 'novos' fornecedores, incluindo os locais.
- Ataques a serviços na cloud
- Uso de erros de configuração em soluções de segurança, por exemplo, os que permitem desactivar uma solução antivírus
- Usando o popular cloud service como CnC - mesmo depois de um ataque ser identificado, a vítima ainda pode ser incapaz de bloquear os ataques porque importantes processos empresariais podem depender da nuvem
- Exploração de vulnerabilidades em software legítimo, DLL Hijacking e BYOVD (Bring Your Own Vulnerable Driver), por exemplo, para contornar a segurança do nó final
- A propagação de malware através de meios de comunicação amovíveis para ultrapassar as falhas de ar
"Vimos que os incidentes de cibersegurança foram frequentes em 2022, causando muitos problemas aos proprietários e operadores da ICS. No entanto, não vimos quaisquer mudanças súbitas ou catastróficas no panorama geral de ameaças, nenhuma que fosse difícil de lidar, apesar de muitas manchetes coloridas nos media. Ao analisarmos os incidentes de 2022, temos de afirmar que entrámos numa era em que as mudanças mais significativas no panorama de ameaças da ICS são sobretudo determinadas pelas tendências geopolíticas e pelos subsequentes factores macroeconómicos. Os cibercriminosos são naturalmente cosmopolitas; contudo, prestam muita atenção às tendências políticas e económicas, pois perseguem os lucros fáceis e garantem a sua segurança pessoal. Esperamos que a nossa análise de futuros ataques se revele útil às organizações para se prepararem para ameaças novas e emergentes", comenta Evgeny Goncharov, chefe da ICS CERT da Kaspersky.
Estas previsões fazem parte do Kaspersky Security Bulletin (KSB) - uma série anual de previsões e artigos analíticos sobre mudanças chave no mundo da ciber-segurança.
Leia o relatório completo das previsões do ICS para 2023 sobre a Securelist. Clique aqui para ver outras peças da KSB.
Para ver o que os peritos da Kaspersky esperavam ver no cenário de ameaças da ICS em 2022, leia o nosso relatório anual anterior.
Post A Comment:
0 comments: